Edge Transport en Exchange 2013 / 2016

El rol de Edge Transport esta diseñado para trabajar en DMZ , orientado a todo lo que tráfico SMTP externo hace referencia.

En este rol se incluyen las mismas características antispam que en el rol de Mailbox así como algunas adicionales como filtrado de conexiones y adjuntos. En adición, cuenta con agente de reescritura de direcciones de correo para el caso que aplique.

Este es el único rol de Exchange que no requiere Active Directory.

El objetivo del rol de Edge Transport es incrementar el nivel de seguridad del correo, en primera instancia cumpliendo con algo muy requerido como es el hecho de que un servidor externo no se conecte directamente a uno interno sino que realice una conexión a una zona perimetral (donde se ubicaría el Edge) y posteriormente el servidor de Edge se conecte a los servidores internos.

A simple vista podríamos decir que el rol de Edge Transport es un simple smarthost pero entre otras cosas podemos sincronizar información interna como por ejemplo dominios de correo de la organización, información de destinatarios como remitentes seguros (safe senders) mediante safelist aggregation y de este modo disminuir la chance de falsos positivos.

Por información específica sobre qué se sincroniza recomiendo revisar el siguiente artículo:

Edgesync Replication Data


Preparación para instalar el rol de Edge de Exchange

Luego de instalar / configurar el sistema operativo, red, etc, debemos considerar lo siguiente:

Active Directory

El servidor con el rol de Edge no debe estar unido al dominio interno, este servidor debería estar ubicado en DMZ en grupo de trabajo o en un Active Directory específico para esta red.


Configuración de nombre y sufijo

El rol de Edge Transport requiere un FQDN válido. De forma predeterminada al no estar unido a un dominio de Active Directory solo tendría el nombre de host sin sufijo, Ejemplo: servidor1

Para configurar un sufijo podemos ir a propiedades del sistema y en computer name clic en Change:

Preparación de servidor edge transport de Exchange 2013 / 2016

Clic en More..

Preparación de servidor edge transport de Exchange 2013 / 2016

Configuramos el sufijo DNS, aceptamos los cambios y reiniciamos el equipo

Preparación de servidor edge transport de Exchange 2013 / 2016


Resolución de nombres

El Edge debe poder resolver nombres externos así como también el nombre de los servidores internos.

Para esto en general tenemos las siguientes opciones:

  1. Utilizar un DNS en DMZ configurado para reenviar consultas internas y externas
  2. Utilizar un DNS interno configurado con reenviador o root hints
  3. Utilizar archivo hosts

En adición, los servidores con el rol de Mailbox tendrían que resolver el nombre del servidor de Edge.


Firewall

A nivel de firewall tenemos que asegurarnos que como mínimo se habiliten los siguientes puertos:

  • Puerto 25 TCP entrante / saliente entre el servidor de Edge e Internet
  • Puerto 25 TCP entrante / saliente entre el servidor de Edge y los Mailbox Servers
  • Puerto 50636 TCP desde los servidores internos con el rol de Mailbox hacia el servidor de Edge Transport para Edgesync

Características de Windows

Se debe agregar la característica de ADLDS (Active Directory Lightweight Directory Services).

La forma más rápida es utilizando el powershell, para esto abrir como administrador (run as Administrator) y ejecutar el siguiente comando:

Install-WindowsFeature ADLDS

Instalación de prerrequistos para rol de edge transport de Exchange 2013

Antes de avanzar reiniciar el servidor.


Instalación del rol de Edge Transport de Exchange

En este caso vamos a instalar un Edge con Exchange 2013 pero el procedimiento también aplica al caso de Exchange 2016.

Una vez finalizada la descarga extraer los archivos en el servidor local y abrir el CMD como administrador (clic derecho –> Run As Administrator):

Ejecutar el setup con los siguientes parámetros:

Setup.exe /Mode:Install /Roles:E /IAcceptExchangeServerLicenseTerms

Cómo instalar el rol de Edge Transport de Exchange 2013 / 2016

instalación del rol de edge transport de Exchange 2013

Como alternativa se puede usar el asistente de instalación gráfico seleccionando en la ventana de roles «Edge Transport».

Por último reiniciar el servidor y opcionalmente configurar la sincronización del rol de Edge, de lo contrario configurar manualmente.


Por información teórica y práctica sobre configuración del rol de Edge de Exchange, ver el siguiente recurso para miembros VIP del sitio (videos de entrenamiento):


About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange, Active Directory y Microsoft 365.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Microsoft 365 Certified: Enterprise Administrator Expert | Microsoft 365 Certified: Security Administrator Associate | Microsoft Certified: Cybersecurity Architect Expert | Comptia Pentest+ | EC-Council Certified Ethical Hacker Master

Reader Interactions

Comments

  1. Daniel says

    Hola, como estas? excelente tus aportes! Te hago una consulta, para instalar exchange 2013 con rol de transporte, necesito 2 licencias? una para el de la base y otra el edge?

    Otra duda, pueden convivir el rol de transporte en CU23 y el de Base de datos con CU05?

    Desde ya muchas gracias!

    • Daniel Núñez Banega says

      Hola Daniel, en principio precisarías un único servidor (multirol), el de Edge dependiendo de los requerimientos podría no ser necesario.
      En cuanto a la consulta sobre CU, no se recomendaría tener un CU que ya no está soportado en producción (por fuera de si funciona o no).
      Te dejo más info sobre roles de Exchange en el siguiente artículo: https://aprendiendoexchange.com/roles-en-exchange-2013

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *